-
09/04/2020
-
122
-
1.455 bài viết
Lỗ hổng 0-day 10 điểm cho phép chiếm quyền root hơn 70.000 thiết bị mạng XSpeeder
Một lỗ hổng 0-day nghiêm trọng vừa được phát hiện trên các thiết bị mạng XSpeeder chạy firmware SXZOS có thể khiến hơn 70.000 hệ thống đang phơi nhiễm trên Internet bị chiếm quyền điều khiển hoàn toàn. Lỗ hổng mang mã CVE-2025-54322, điểm CVSS tối đa là 10 cho phép thực thi mã từ xa với quyền root mà không cần xác thực. Theo các chuyên gia WhiteHat, đây là kịch bản tấn công nguy hiểm nhất đối với hạ tầng mạng khi kẻ tấn công có thể kiểm soát toàn bộ thiết bị chỉ qua một yêu cầu từ xa.
Vì sao lỗ hổng này nguy hiểm và cần chú ý?
Nguyên nhân nằm trong script web backend vLogin.py của SXZOS. Cụ thể, ứng dụng xử lý các tham số HTTP như chkid, title và oIP không an toàn. Trong đó, tham số chkid có thể chứa một chuỗi Python được mã hóa Base64, sau đó bị thiết bị tự động giải mã và thực thi trực tiếp bằng hàm eval() mà không hề kiểm tra đầu vào hay yêu cầu đăng nhập.
Điều này đồng nghĩa với việc kẻ tấn công chỉ cần gửi một yêu cầu HTTP GET từ xa là đã có thể chạy mã tùy ý với đặc quyền root, chiếm toàn quyền kiểm soát thiết bị: cài mã độc, nghe lén lưu lượng, thay đổi cấu hình hoặc biến thiết bị thành botnet.
Điều này đồng nghĩa với việc kẻ tấn công chỉ cần gửi một yêu cầu HTTP GET từ xa là đã có thể chạy mã tùy ý với đặc quyền root, chiếm toàn quyền kiểm soát thiết bị: cài mã độc, nghe lén lưu lượng, thay đổi cấu hình hoặc biến thiết bị thành botnet.
Phạm vi ảnh hưởng
Theo các nhóm nghiên cứu an ninh mạng, hiện có hơn 70.000 thiết bị XSpeeder chạy SXZOS đang phơi nhiễm trực tiếp trên Internet, chủ yếu được triển khai trong môi trường công nghiệp, chi nhánh doanh nghiệp, mạng WAN và các hệ thống từ xa.
Đáng lo ngại, PoC của lỗ hổng CVE-2025-54322 đã xuất hiện và đến nay vẫn chưa có bản vá chính thức dù đã có báo cáo gửi đến nhà sản xuất từ nhiều tháng trước. Việc một thiết bị mạng đóng vai trò “cửa ngõ” bị chiếm quyền có thể kéo theo nguy cơ xâm nhập dây chuyền toàn bộ hệ thống phía sau.
Trước tình hình này, các chuyên gia WhiteHat khuyến cáo các tổ chức đang sử dụng thiết bị XSpeeder cần ngay lập tức chặn truy cập quản trị từ Internet, cô lập thiết bị khỏi mạng không tin cậy, triển khai kết nối VPN và tăng cường giám sát để phát hiện sớm dấu hiệu tấn công.
Đáng lo ngại, PoC của lỗ hổng CVE-2025-54322 đã xuất hiện và đến nay vẫn chưa có bản vá chính thức dù đã có báo cáo gửi đến nhà sản xuất từ nhiều tháng trước. Việc một thiết bị mạng đóng vai trò “cửa ngõ” bị chiếm quyền có thể kéo theo nguy cơ xâm nhập dây chuyền toàn bộ hệ thống phía sau.
Trước tình hình này, các chuyên gia WhiteHat khuyến cáo các tổ chức đang sử dụng thiết bị XSpeeder cần ngay lập tức chặn truy cập quản trị từ Internet, cô lập thiết bị khỏi mạng không tin cậy, triển khai kết nối VPN và tăng cường giám sát để phát hiện sớm dấu hiệu tấn công.
Theo GBhackers